踏入 2020 在即,不少科技公司均發布最新預測,Palo Alto Networks 專業領域亞太區安全總監Kevin O’Leary 就列出五大預測,內容涉及 5G、物聯網、私隱問題等。
1. 今天的 4G問題將會影響5G
概況
根據 Gartner,全球 5G 無線網絡基礎設施的收入將於 2020 年達到 42 億美元,較 2019 年的 22 億美元增加89%。儘管距離 5G 獲廣泛採用仍有漫漫長路,但我們已開始看到澳洲、新加坡和南韓推出了早期的5G試用服務,例如新加坡已開始在雲端遊戲、自動駕駛、智能房地產以及餐飲業試驗5G。一旦成功部署,5G網絡將能夠給予不同產業自主權,大大影響整個經濟領域,如運輸、供應鏈及製造業等。
預測:4G仍會是大部分亞太地區的首選
未來10年將陸續有大型的5G基礎設施項目,但迄今為止只有少數試驗成功。儘管5G將與4G網絡並肩發展,但5G時代尚未完全到來。有些亞太市場才剛剛推出4G,因此距離5G網絡達到一定規模還需要相當長的時間。根據GSMA預測,亞太區的4G用戶於2025年仍佔全球移動用戶68%。由於4G頻段範圍較5G的mmWave更長,許多鄉郊地區仍然會使用LTE網絡。
假如現時4G的安全風險仍未處理和解決,在5G網絡下,流動ISP可能成為網絡攻擊的首個弱點,而保安漏洞(如不安全的IoT系統)亦將會倍增。現今社會需要新的網絡安全措施,包括採取預防性的保安方法、提高網絡安全的自動化水平、因應情況建立以成效為本的保安,並整合保安功能與API。我們預料4G仍將是黑客的目標,並在未來幾年可能成為入侵5G網絡的途徑。
2. 人才短缺不是你想的那樣
概況
社會廣泛討論全球網絡安全人才的短缺和持續的關鍵技能不足問題。根據 (ISC) 2018年網絡安全勞動人口調查的最新研究估計,亞太區的網絡安全人才短缺為214萬,將成為最受影響的區域。
預測:業界需要具解難能力及好奇心的人才
除非大眾的網絡安全觀念有根本上的改變,否則網絡安全將繼續出現供不應求的情況。要應對這項挑戰有兩種方法:採用自動化及探索替代的人才來源。
自動化將成為未來網絡安全的關鍵因素,因為我們不應要求和期望操作人員能處理所有問題。相反,他們需要利用自動化無法取代的技能,專注於解決問題、溝通和協作等高階任務。這種趨勢將需要重新審視當今的安全營運中心(SOC)結構,並需要對這些新角色所需的專業人員類型進行相應的調配,以便準確地識別並填補其中的空缺。企業和招聘人員不應再追求鳳毛麟角的精英,而是應該在合適的招聘市場中發掘人才。
我們預料於2020年,企業為求尋找具解難能力及好奇心的人才,不論是工程師、分析師還是通訊專家,在職位評估上情緒智商 (EQ) 將比 IQ更為重要。企業需要投資於被忽視的一群,讓他們能夠學習新技能和多方面發展,並將有能力的員工培訓成所需的人才。對於希望準確辨識內部網絡安全技能不足的公司而言,美國的National Initiative for Cybersecurity Education (NICE)框架的勞動類別是可靠實用的參考。
3. 對物聯網的探索對任何人都充滿陷阱
概況
根據IDC的數據,亞太區於2019年的物聯網支出將冠絕全球,佔全球開支約36.9%。但時至今日,網絡安全可能仍是產品開發完成後的考慮。一些未能接收軟件更新和修補程式的連接設備繼續推出市面,導致常見而容易被利用的漏洞。到2020年,預計針對物聯網安全的潛在威脅如IoT攻擊等將越來越多,令問題進一步惡化。
預測:家裡的無線門鈴可能會招惹不速之客
在2020年,我們預計物聯網安全的發展將在兩個關鍵領域發揮作用:個人及工業物聯網。不論是連接網絡的門鈴攝影機,還是無線揚聲系統,我們都預料透過不安全的應用程式或粗疏的登錄驗證入侵的攻擊模式將有所增加。這類威脅在Deepfake技術漸趨普及下將變得更為複雜,該技術可能對語音或生物特徵控制的連接設備構成安全威脅。若有不速之客模仿看似是最安全生物特徵的認證而入侵和控制了連接系統,其影響將不止於個人層面而牽連到整個企業環境。
對企業而言,製造業是許多亞洲經濟體系的重要支柱,我們預計將在其中看到重大變化。製造商一直希望採用感應器、可佩戴裝置和自動化系統,通過數據收集和分析以簡化生產、物流和員工管理。機構將要確保這些連接設備可以利用自動化功能,例如內置診斷程式、持續的漏洞掃描和先進的分析功能,以便應對威脅。
為了確保安全,連接設備需要不斷升級和更新。全球包括亞太區的政府也有為物聯網設備安全性訂立指引或法規,且呈現上升趨勢。此外,為業界訂立標準的組織也正努力設立與物聯網設備的相關安全標準,例如ISO / IEC 27037標準草案。這兩個趨勢必定對物聯網設備的部署有所影響。我們亦預料公眾教育將成為優先考慮,以應對連聯設備的快速增長和應用。
4. 資料私隱的界線變得模糊
概況
互聯網協會2018年針對亞太區政策議題的調查發現,逾70% 的受訪者希望對個人資料收集和使用有更多控制權。然而,大多數人以個人資料交換短期利益,例如使用熱門應用程式、進行手機遊戲或在線比賽等前都不會三思。某些新興市場對網絡安全的防範意識不足,其他市場如新加坡等卻對網絡安全充滿自信。不幸的是,資料私隱問題不僅是缺乏意識到有甚麼資料正在被人收集,更不清楚該等資料將如何被利用,大家都不知道自己不了解甚麼。
預測:更多資料私隱法案,以及數據主權與保安之間的兩難
我們預料亞太區就資料私隱的立法越見增多。越來越多亞太國家提出議案立法也意味著需要在原有國家儲存數據,而這些要求往往是由私隱和安全問題所驅使。印尼政府最新的2019年法規第71條要求公營機構必須在境內管理、處理和儲存數據(根據非官方翻譯)。我們預計將有更多的法規草案,規範或限制跨境數據流轉,特別是公營部門的數據流轉。為應對這個現象,企業可能會在本地建立更多數據中心,以妥善支援現有市場的客戶。
但必須注意的是,建立本地化的數據中心並不一定會令數據更加安全。由於網絡威脅不分國界,個人用戶和企業之間的聯繫將會愈來愈緊密,愈來愈容易受到全球事件的影響。企業仍然有責任採用全面的網絡安全策略,以支援保存於網絡、端點和雲端的操作和數據。為有效地進行管理,企業需要定期檢視已取得和限制數據的存取。
我們預料在高度互相聯繫的區域例如東盟,企業將需要更加密切關注其數據流動。儘管各界已努力在區域內建立統一的個人資料保護措施(例如自願性質的APEC跨境隱私保護規則),但仍沒有一致的方案。為建立最適合某一地區的保安框架,私營和公營部門之間將需要緊密合作,在違規行為不斷出現的情況下評估該如何識別和界定威脅。
5. 雲端的時代已經到來:不要在亂流中迷失方向
概況
整個地區對雲端應用的態度和程度不一而複雜,一方面認同將數據遷移到雲端是合理做法,另一方面仍對將敏感資訊放到雲端保持警惕。大眾對於虛擬與實體服務各自的優勢仍有誤解,令雲端環境更加複雜。
預測:雲端配置更加混亂
越來越多企業利用容器(即操作系統虛擬化)提高效率、促進一致性和降低成本。然而,不安全和配置不當的容器所帶來的潛在風險很快就會浮現,令機構容易受到針對性的惡意監察。運用合適的網絡策略或防火牆,或同時使用兩者,可以預防內部資料外泄到公眾互聯網。此外,採用雲端安全工具可以提醒機構注意現時雲端基礎架構的風險。
雲端安全的採用同樣面臨一系列的挑戰。Palo Alto Networks委託Ovum進行的《亞太區雲端安全報告》發現,80%的大型機構認為安全性和私隱是採用雲端的關鍵挑戰。
主要發現包括:
- 76% 的香港大型機構對雲端安全抱有過份信心,認為單靠雲端供應商提供的保安已足夠。
- 亞太區的大型機構擁有大量保安工具,導致安全部署零散,進一步增加雲端安全管理的複雜性,情況在多雲端環境運作的企業尤其明顯。
- 鑑於大型機構沒有足夠的時間和資源進行雲端安全審核和培訓,機構有需要採用自動化。 2020年還有更多公司採用DevSecOps措施,將保安流程和工具整合到新產品的開發週期。這將會是推到雲端和容器成功整合的一步。